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Beschreibung 

Sichere Erf as sung von Eingabewerten 

Die Erf indung betrif ft ein System sowie ein Verfahren zur si- 
cheren Erfassung von Eingabewerten zur Verarbeitung in einer 
sicherheitsgerichteten Recheneinhei t . 

Ebenso wie bei nicht sicherheitsgerichteten Automatisierungs- 
systemen besteht bei sicherheitsgerichteten Automat is ierungs- 
systemen der Wunsch, Parameter bzw. Werte andern zu k6nnen. 
Der Begriff "sicherheitsgerichtet" (englisch: fail-safe) be- 
zeichnet gemaS DIN V VDE 0801 bzw. VDI/VDE 3542 die FShigkeit 
eines Systems, beim Auftreten eines Ausfalls im sicheren Zu- 
stand zu bleiben oder unmittelbar in einen anderen sicheren 
Zustand uberzugehen. Typische Parameter bei sicherheitsge- 
richteten Automatisierungssystemen sind Grenzwerte (z. B. ma- 
ximaler Druck, maximale Temperatur), bei der en Uberschreitung 
ein gefahrlicher Zustand eintreten wurde* Diese Grenzwerte 
sind beispielsweise bei Chargenprozessen unabhangig von der 
zu produzierenden Charge und soil ten an die jeweilige Charge 
angepasst werden konnen. Derzeit ist keine sichere Bedienmog- 
lichkeit bekannt. Nach den relevanten Standards (insbesondere 
IEC 61508/IEC 61511) wird gefordert, dass Anderungen, welche 
sicherheitsgerichtete Funktionen betreffen, getestet und ve- 
rifiziert werden miissen. Dies wurde eine Parameteranderung 
sehr aufwandig machen. Aus sicherheitstechnischer Sicht wer- 
den an eine Parameteranderung die im Polgenden genannten An- 
forderungen gestellt. Fuhrt die Parameteranderung zur Beein- 
flussung einer sicherheitsgerichteten Funktionalitat des Au- 
tomatisierungssystems, so ist ein kompletter Funktionstest 
bei einer solchen Parameteranderung erf order lich, da im Palle 
eines falschen Parameters lebensgef ahrliche Zustande eintre- 
ten konnten. 
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Der Erfindung liegt die Aufgabe zugrunde, die sichere Erf as- 
sung von Eingabewerten mit einer nicht sicherheitsgerichteten 
Bedienvorrichtung zu ermSglichen. 

Diese Aufgabe wird durch ein System mit den im Anspruch 1 ge- 
nannten Merkmalen gelost. Das System zur sicheren Erfassung 
von Eingabewerten weist eine Bedienvorrichtung und eine si- 
cherheitsgerichtete Recheneinheit auf , wobei die Bedienvor- 
richtung 

• erste Anzeigemittel zur Anzeige eines uber Eingabemittel 
eingebbaren ersten Werts, 

• Kommunikationsmittel zur unverschlusselten Ubertragung des 
ersten Werts zusammen mit einem Identif izierungswert an 
die Recheneinheit, 

• Rechenmittel zur Umrechnung eines von der Recheneinheit 
ubermittelbaren zweiten Werts in einen dritten Wert, 

• zweite Anzeigemittel zur Anzeige des dritten Werts und 

• dritte Anzeigemittel zur Anzeige eines uber die Eingabe- 
mittel eingebbaren vierten Werts aufweist, wobei die Re- 
chenmittel zur Umrechnung des vierten Werts in einen fiinf- 
ten Wert vorgesehen sind und die Kommunikationsmittel zur 
unverschlusselten Ubertragung des ftinf ten Werts zusammen 
mit dem Identif izierungswert an die Recheneinheit vorgese- 
hen sind, 

und wobei die Recheneinheit 

• Speichermittel zur Speicherung des ersten Werts sowie zur 
Speicherung von Kontrollwerten und Grenzwerten, 

• erste Vergleichsmittel zum Vergleich des Identif izierungs- 
werts mit einem der Kontrollwerte, 

• zweite Vergleichsmittel zum Vergleich des ersten Werts mit 
den Grenzwerten, 

• Rechenmittel zur Umrechnung des ersten Werts in einen 
zweiten Wert, 

• Ubertragungsmittel zur unverschlusselten Ubertragung des 
zweiten Werts an die Bedienvorrichtung und 

• dritte Vergleichsmittel zum Vergleich des funf ten Werts 
mit dem ersten Wert aufweist. 
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Diese Aufgabe wird durch ein Verfahren zur sicheren Erfassung 
von Eingabewerten mit den im Anspruch 13 genannten Merkmalen 
gelost, bei welchem mittels einer Bedienvorrichtung 

• ein uber Eingabemittel eingegebener erster Wert mit ersten 
Anzeigemitteln angezeigt wird, 

• der erste Wert zusammen mit einem Identif izierungswert un- 
verschlusselt an eine sicherheitsgerichtete Reclieneinheit 
iiber tragen wird, 

• ein von der Recheneinheit ubermittelter zweiter Wert in 
einen dritten Wert umgerechnet wird, 

• der dritte Wert mit zweiten Anzeigemitteln angezeigt wird, 

• ein uber die Eingabemittel eingegebener vierter Wert mit 
dritten Anzeigemitteln angezeigt wird, 

• der vierte Wert in einen fiinf ten Wert umgerechnet wird und 

• der fiinf te Wert zusammen mit dem Identif izierungswert un- 
verschliisselt an die Recheneinheit ubertragen wird, 

und bei welchem die Reclieneinheit 

• den ersten Wert sowie Kontrollwerte und Grenzwerte spei- 
chert , 

• den Identif izierungswert mit einem der Kontrollwerte mit- 
tels erster Vergleichsmittel vergleicht, 

• den ersten Wert mit den Grenzwerten mittels zweiter Ver- 
gleichsmittel vergleicht, 

• den ersten Wert in einen zweiten Wert umrechnet, 

• den zweiten Wert unverschliisselt an die Bedienvorrichtung 
ubertragt und 

den fiinf ten Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel vergleicht. 

Die Erfindung beruht auf der Erkenntnis, dass zur Realisie- 
rung einer sicheren Erfassung von Eingabewerten ohne eine si- 
cherheitsgerichtete Bedienvorrichtung bei der Erfassung eine 
Anderung der sicherheitsgerichteten F-Funktionalitat unbe- 
dingt vermieden werden muss, da eine solche Anderung einen 
kompletten Funktionstest der F-Funktionalitat erforderlich 
raachen wurde, wenn der Sicherheitslevel gehalten werden soil. 
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Andert man jedoch nur einen Sicherheitsparameter, so ist ge- 
ma£ der einschlagigen Normen und Richtlinien kein kompletter 
Funkt ions test erf orderlich, da es sich im Unterschied zur An- 
derung einer Sicherheitsfunktion (= F-Funktion) urn eine zu- 
lassige Ubertragung/Anderung eines Sicherheitsparameters nan- 
del t (siehe z. B. IEC 61511, Teil 1, Kapitel 11.7.1.5, Anmer- 
kung 2). Das bietet den Vorteil, das die Bedienvorrichtung, 
und zwar sowohl deren Hardware als auch deren Software nicht 
von einer Abnahmestelle (z. B. TUV = Technischer Uberwa- 
chungsverein) zertifiziert werden muss. Ein weiterer wichti- 
ger Vorteil ist, dass kein Stopp der F-Funktion bzw. des F- 
Programms bei Parameteranderung erf orderlich ist, d. h. die 
Erfassung bzw. Anderung von Eingabewerten ist im laufenden 
Betrieb moglich. Es wird somit erm6glicht, dass uber eine de- 
finierte zertif izierte Schnittstelle in der sicherheitsge- - 
richteten Recheneinheit, Werte und F-Parameter (z. B. Real-, 
Integer- oder Boolean-Wert) zu bedienen bzw. zu andem sind. 
Das zugehorige Programm in der Bedienvorrichtung benotigt 
keine Zertif izierung und kann auf jeder beliebigen Bedienvor- 
richtung ablaufen. Es kann vom Betreiber erstellt werden. 

Durch die sichere Prufung des Identif izierungswerts mit einem 
der Kontrollwerte durch die Vergleichsmittel werden insbeson- 
dere Adressverf alschungen bei der tibertragung der Werte bzw. 
des Identif izierungswerts aufgedeckt. Die Schnittstelle (n) 
zwischen Bedienvorrichtung und Recheneinheit kann aus Sicht 
entsprechend einschlagiger Sicherheitsnormen, z. B. IEC61508, 
als eine von vorneherein eingeplante Schnittstelle betrachtet 
werden, deren Funktionalitat entsprechend getestet sein muss. 

GemaS einer vorteilhaf ten Ausgestaltung der Erfindung sind 
die Rechenmittel zur Bildung eines Komplements der Werte vor- 
gesehen. Durch die Spiegelung des Wertes bzw. des Komplements 
konnen Ubertragungsf ehler und Datenverf alschungen - insbeson- 
dere Common-Mode-Datenverf alschungen - aufgedeckt werden. 
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GemaS einer weiteren vorteilhaf ten Ausgestaltung der Erfin- 
dung weist die Recheneinheit Mittel zur von Ergebnissen der 
Vergleiche der Vergleichsmittel abhangigen Freigabe des ers- 
ten Werts auf . Der Test der auch Acceptance genannten Besta- 
tigung auf Korrektheit dient dem Aufdecken von Datenverfal- 
schungen, einer fehlerhaf ten Acceptance und einer gleichzei- 
tigen Bedienung von mehreren Bedienvorrichtungen. 

Vorteilhafterweise sind die ersten Anzeigemittel und die 
zweiten Anzeigemittel zur Anzeige des ersten bzw. des dritten 
Werts in voneinander unterschiedlicher Formatierung vorgese- 
hen sind. Aus dem zuriickgegebenen Wert/Komplement wird also 
der Normalwert errechnet und z. B. in anderer Schrift darge- 
stellt. Damit kann ein logischer Kurzschluss in der Bedien- 
vorrichtung aufgedeckt werden. Fehler in der Eingabeumwand- 
lung werden aufgedeckt, da der Anwender die Tastatureingabe 
mit dem Eingabefeld vergleicht. Fehler in der Ausgabeumwand- 
lung werden aufgedeckt da der Anwender das Eingabefeld und 
den "Readback" vergleicht. Ein -Kurzschluss" des Eingabefel- 
des zum Readback-Feld wird besonders leicht aufgedeckt durch 
die Darstellung des Read-Back in anderer Schrift und durch 
den Vergleich mit dem "ubernommenen Wert". Dem Anwender wird 
vorteilhafterweise die Moglichkeit gegeben, die Eingabe abzu- 
brechen, dadurch dass die Bedienvorrichtung eine uber die 
Eingabemittel aktivierbare Abbruchfunktion auf weist. 

Durch parametrierbare Uberwachungsmittel zur Zeituberwachung 
der iibermittlung des ersten bzw. des vierten Werts in der Re- 
cheneinheit kann das unzulassige gleichzeitige Bedienen von 
mehreren Bedienvorrichtungen aus aufgedeckt werden. 

Urn den Anwender uber den schlieSlich als sicheren Wert durch 
die Recheneinheit ubernommenen Wert zu informieren, weist die 
Bedienvorrichtung vorteilhafterweise vierte Anzeigemittel zur 
Anzeige eines weiteren von der Recheneinheit ubertragbaren 
sechsten Werts auf. 
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Die Sicherheit des Systems bzw. des Verfahrens wird welter 
erhoht, wenn Speichermittel zur diversitaren Speicherung der 
Kontrollwerte vorgesehen sind und/oder die Eingabemittel kei- 
ne Drag & Drop-Funktion zulassen, so dass der Anwender ge- 
zwungen wird, den Wert bei jeder Eingabe komplett neu ein- 
zugeben. Der Wert wird imraer als Tastatureingabe ge f order t. 

Die Recheneinheit weist vorteilhaf terweise sicherheitsgerich- 
tete Funktionsmittel zur sicheren Durchftihrung eines Funkti- 
onstests der Bedienvorrichtung auf . Durch die sichere Gene- 
rierung eines Tests der Bedienfunktion in der Bedienvorrich- 
tung werden insbesondere systematische Fehler der Bedienvor- 
richtung aufgedeckt. Die Funktion in der Bedienvorrichtung 
kann so bei der Inbetriebnahme vind bei jedem Proof test- 
Interval getestet werden. Auch dadurch lasst sich ein "Kurz- 
schluss" des Eingabefeldes zum Readback-Feld aufdecken. 

In Umgebungen in denen der Zugriff von nicbt autorisierten 
Personen auf das System nicht zuverlassig verhindert werden 
kann, weist die Bedienvorrichtung vorteilhaf terweise Mittel 
zur Authentifizierung von Anwendem auf. 

Nachfolgend wird die Erfindung anhand der in den Figuren dar- 
gestellten Ausfuhrungsbeispiele naher bescbrieben und erlau- 
tert. 

Es zeigen: 

FIG 1 ein System zur sicheren Erfassung von Eingabewerten 

mit einer nicht sicherheitsgerichteten Bedienvor- 
richtung und einer sicherheitsgerichteten Rechen- 
einheit, 

FIG 2 den Ablauf eines Verfahrens zur sicheren Erfassung 

von Eingabewerten und 



6 



WO 2005/048103 



PCT/EP2004/012623 



PIG 3 ein weiteres System zur sicheren Erfassung von Ein- 

gabewerten mit einer Bedienvorrichtung und einer 
sicherheitsgerichteten Recheneinheit - 

Figur 1 zeigt ein System zur sicheren Erfassung von Eingabe- 
werten mit einer nicht sicherheitsgerichteten Bedienvorrich- 
tung 1 und einer sicherheitsgerichteten Recheneinheit 2, 
z. B. einer Zentraleinheit (CPU = Central Processing Unit) 
eines Automatisierungssystems . Die Bedienvorrichtung 1 weist 
erste Anzeigemittel 6, zweite Anzeigemittel 7, dritte Anzei- 
gemittel 8 und vierte Anzeigemittel 9 auf. Des Weiteren weist 
die Bedienvorrichtung 1 Eingabemittel 3, z. B. eine Tastatur, 
sowie Mittel 18 zur Authentif izierung von Anwendem, z. B. 
ein Schloss oder einen (Chip-)Kartenleser auf. Zudem enthalt 
die Bedienvorrichtung 1 Rechenmittel 5 sowie Kommunikations- 
mittel 4. Die Kommunikationsmittel 4 sind uber eine Kommuni- 
kationsverbindung 19 mit Kommunikationsmitteln 14 der Rechen- 
einheit 2 verbunden. Die Recheneinheit 2 weist erste Ver- 
gleichsmittel 11, zweite Vergleichsmittel 12 sowie dritte 
Vergleichsmittel 13 auf. Die Recheneinheit 2 enthalt Spei- 
chermittel 10 sowie Rechenmittel 15. Des Weiteren weist die 
Recheneinheit 2 parametrierbare Uberwachungsmittel 16 sowie 
sicherheitsgerichtete Funktionsmittel 17 auf. 

Im Folgenden wird anhand des Ausfuhrungsbeispiels gemaS Fi- 
gur 1 die sichere Erfassung von Eingabewerten naher erlau- 
tert. Ein Anwender des Systems kann mittels der Bedienvor- 
richtung 1 uber die Eingabemittel 3 einen ersten Wert - den 
Eingabewert - eingeben, welcher ihm daraufhin mit den ersten 
Anzeigemitteln 6 angezeigt wird. Der Anwender erhalt durch 
die direkte Anzeige des eingegebenen ersten Werts eine Riick- 
kopplung uber den eingegebenen ersten Wert und kann diesen 
gegebenenfalls korrigieren. Der Anwender beendet die Eingabe 
durch Betatigen einer Return-Taste oder einer speziell dafur 
vorgesehenen Bestatigungstaste, welche Teil der Eingabemittel 
3 ist. Der solchermaSen eingegebene erste Wert wird zusammen 
mit einem ihm zugeordneten Identif izierungswert unverschliis- 
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selt an die sicherheitsgerichtete Recheneinheit 2 ubertragen. 
Der Identif izierungswert wird im Folgenden auch Identifizie- 
rungskennung oder Val-ID genannt. Die sicherheitsgerichtete 
Recheneinheit 2 speichert den empfangenen ersten Wert und 
vergleicht zura einen mittels erster Vergleichsmittel 11 den 
mitiibertragenen Identif izierungswert mit einem in den Spei- 
chermitteln 10 der Recheneinheit 2 gespeicherten Kontrollwert 
und vergleicht zum anderen mittels zweiter Vergleichsmittel 
12 den ersten Wert mit in den Speichermitteln 10 der Rechen- 
einheit 2 hinterlegten Grenzwerten. Im nachsten Schritt rech- 
nen die Rechenmittel 15 der Recheneinheit 2 den ersten Wert 
in einen zweiten Wert urn. Diese Umrechnung ist im Ausfuh- 
rungsbeispiel die Bildung des Komplements (= Komplementar- 
wert) des ersten Werts. Der solchermaSen umgerechnete bzw. 
umgeformte zweite Wert (hier also das Komplement des ersten 
Werts) wird, wiederum unverschliisselt, an die Bedienvorrich- 
tung 1 zuriickubertragen (gespiegelt) und in der Recheneinheit 
2 mit Rechenmitteln 5 in einen dritten Wert umgerechnet. Die- 
se Umrechnung vom zweiten in den dritten Wert ist eine zur 
ersten Umrechnung vom zweiten in den dritten Wert inverse O- 
peration (hier wiederum die Bildung des Komplements) . Der 
derart umgerechnete bzw. umgeformte dritte Wert sollte somit 
zahlenmaSig dem ersten Wert entsprechen. Der dritte Wert wird 
mit zweiten Anzeigemitteln dem Anwender angezeigt. Der Anwen- 
der priift den angezeigten dritten Wert und gibt gegebenen- 
falls als Bestatigung der Ubereinstimmung des ihm angezeigten 
ersten Werts mit dem ihm angezeigten dritten Wert uber die 
Eingabemittel 3 der Bedienvorrichtung 1 den gleichen Wert 
nochmals - zum zweiten Mai - a-ls vierten Wert ein. Der einge- 
gebene vierte Wert wird ihm mit dritten Anzeigemitteln 8 wie- 
derum direkt angezeigt, so dass er eine direkte Ruckkopplung 
erhalt und seine Eingabe gegebenenf alls direkt korrigieren 
kann. Im nachsten Schritt rechnet die Bedienvorrichtung 1 mit 
den Rechenmitteln 5 den vierten Wert in einen fiinf ten Wert 
urn, hier wieder in den Komplementarwer t , und ubertragt den 
funften Wert zusammen mit dem Identif izierungswert unver- 
schliisselt an die Recheneinheit 2. Die Recheneinheit 2 ver- 
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gleicht daraufhin den funf ten Wert mit dem in den Speicher- 
mitteln 10 gespeicherten ersten Wert mittels dritter Ver- 
gleichsmittel 13. Der fiinfte Wert sollte das Komplement des 
ersten Werts sein. Haben alle mit den Vergleichsmitteln 11, 
12, 13 durchgefiihrten Vergleiche zu einem erfolgreichen Er- 
gebnis gefuhrt, kann die Recheneinheit 2 in einem letzten 
Schritt den solchermaSen sicher erfassten ersten Wert als si- 
cheren Eingabewert weiterverarbeiten . 

Figur 2 zeigt den Ablauf eines Verfahrens zur sicheren Erfas- 
sung von Eingabewerten. Das Verfahren dient zum sicheren Er- 
fassen eines Eingabewerts als sicherer Wert (sogenannter F- 
Value) 45 mittels einer F-Funktion 28 (F = Failsafe) , welche 
z. B. in der Recheneinheit 2 gemaS Figur 1 ablauf t. Ein An- 
wender fiihrt uber Eingabemittel , z. B. ein Bedienterminal , 
eine Tasteneingabe 20 aus. Der vom Anwender eingegebene Wert 
wird in einem Eingabefeld 22 dargestellt. Der Anwender ver- 
gleicht den im Eingabefeld 22 dargestellten Wert mit dem von 
ihm eingegebenen Wert. Der Vorgang des Vergleichs durch den 
Anwender ist in Figur 2 mit dem Bezugszeichen 21 gekennzeich- 
net. 1st der Wert nach Ansicht des Anwenders korrekt eingege- 
ben, driickt er eine Ubernahmetaste 23. Daraufhin wird der 
eingegebene Wert als Wert 24 in ein Speicherwort 25 geschrie r 
ben. Dieses Speicherwort 25 wird in einem Schreibauf trag 26 
zusammen mit einer Kennung zur Identif izierung an eine Einga- 
beschnittstelle 27 zur F-Funktion 28 iibertragen. Die Eingabe- 
schnittstelle 27 selbst ist nicht sicherheitsgerichtet ausge- 
fiihrt. Die F-Funktion 28 spiegelt den Eingabewert als Komple- 
ment 29 uber eine sogenannte Spiegel-Schnittstelle 30 zuriick. 
Mittels einem Lese-Dienst 31 (Polling) wird das Komplement 
als Speicherwort 32 von der Bedienvorrichtung gelesen. In der 
Bedienvorrichtung erfolgt eine Wandlung 33 des Speicherworts 
in dessen Komplementarwer t . Der Komplementarwert des Spei- 
cherworts 32 sollte der im ersten Schritt eingegebene Wert 
sein. Der Komplementarwert wird nun auf einem Anzeigefeld 34 
angezeigt. Der Anwender vergleicht in einem weiteren Ver- 
gleich 35 die beiden im Eingabefeld 22 bzw. im Anzeigefeld 34 
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angezeigten Werte und gibt, falls beide Werte ubereinstimmen, 
zur Bestatigung den Wert mit einer Tasteneingabe 36 ein zwei- 
tes Mai ein. Der dermaSen eingegebene Wert wird wiederum in 
einem weiteren Eingabefeld 3 8 angezeigt und durch einen wei- 
teren Vergleich 37 des Anwenders direkt gepruft. Der Anwender 
kann bei Ubereinstimmung des eingegebenen Werts mit den zuvor 
angezeigten Werten wiederum eine Ubernahme taste 39 betatigen 
und damit eine Wandlung 40 des eingegebenen Werts in dessen 
Komplement anstoSen. Dieses Komplement wird als Speicherwort 
41 zwischengespeichert und in einem Schreibauf trag 42 zusam- 
men mit der Identif izierungskennung an eine so genannte Ac- 
ceptance-Schnitts telle 43 zur F-Funktion 28 als sogenannte 
Acceptance 44 iibertragen. Die F-Funktion 28 priift die Accep- 
tance 44 und ubernimmt bei Korrektheit den eingegebenen Wert 
als sicheren Wert 45. Im Ausfuhrungsbeispiel gemaS Figur 2 
wird dieser Wert zudem als sicherer Wert 46 an die Bedienvor- 
richtung iibertragen und in einem weiteren Anzeigefeld 47 dem 
Anwender angezeigt. Der Anwender hat nun noch die Gelegen- 
heit, mit einer erneuten Sicherheitseingabe oder einem Stopp 
der Funktion zu reagieren, wenn der im Anzeigefeld 47 ange- 
zeigte Wert nicht dem gewunschten Eingabewert entspriclit. 

Figur 3 zeigt ein weiteres System zur sicheren Erfassung von 
Eingabewerten mit einer Bedienvorrichtung und einer sicher- 
heitsgerichteten Recheneinheit . Figur 3 dient insbesondere 
zur Verdeutlichung, welche Telle eines solchen Systems si- 
cherheitsgerichtete Funktionen ausfuhren und insofern sicher 
ausgefuhrt sein muss en bzw. von einer Abnahmestelle (z. B. 
TUV) abgenommen oder zertifiziert werden miissen. Diese Teile 
des Systems zur Ausfiihrung sicherheitsgerichteter Funktionen 
sind in Figur 3 mit den Bezugszeichen 62 - 71 gekennzeichnet . 
Die ubrigen (mit den Bezugszeichen 50 - 61 gekennzeichneten) 
Teile des Systems konnen in normaler Ausfiihrung, d. h. in 
nicht sicherheitsgerichteter Ausfiihrung, ausgefuhrt werden. 

Im Ausfuhrungsbeispiel gemaS Figur 3 gibt ein erster Anwender 
51 einen neuen Wert 53 als Eingabewert in die nicht sicher- 



10 



WO 2005/048103 



PCT/EP2004/012623 



heitsgerichtete Bedienvorrichtung 50 ein. Dieser neue Wert 
wird zusammen mit einer Identif izierungskennung als Daten 56 
an die sicherheitsgerichtete F-Funktion 64 iibertragen. Die F- 
Funktion 64 gibt entweder den neuen Wert als Rucklesewert 57 
an die Bedienvorrichtung 50 zuriick oder meldet einen Status- 
wert 58, z. B. einen Fehler. Daraufhin kann der erste Anwen- 
der 51 durch nochmalige Eingabe 54 des neuen Werts als Accep- 
tance den zuruckgelesenen Wert akzeptieren. Die Bedienvor- 
richtung gibt die Acceptance 59 an die F-Funktion 64 weiter. 
Optional - insbesondere zur Erhdhung der Sicherheit - kann 
ein zweiter Anwender 52 den Wert akzeptieren, indem er eine 
Acceptance 55 an die Bedienvorrichtung 50 abgibt. Wahlt der 
Anwender 51 bzw. 52 den Abbruch oder wiinscht ein Zurucksetzen 
der F-Funktion 64, so geht ein Abbruch- bzw. Resetsignal 60 
an die sicherheitsgerichtete F-Funktion 64. Neben den uber 
nicht sicherheitsgerichtete Schnittstellen eingelesenen Wer- 
ten der Bedienvorrichtung 50 sind weitere sicherheitsgerich- 
tete Parameter 65-71 als Eingangswerte fur die F-Funktion 
vorgesehen. Ein erster Parameter 65 gibt die maximal zulassi- 
ge Anderung eines neuen Werts im Vergleich zu dem bisherigen 
F-Wert vor. Ein oder mehrere weitere Parameter 66 geben abso- 
lute Grenzwerte der jeweiligen Anlage vor. Identif izierungs- 
kennungen sind als Parameter 67 hinterlegt. Fur einen Test 
der Bedienvorrichtung 50 ist im Parameter 68 ein Rucklesewert 
simuliert. Die F-Funktion 64 kann durch Setzen oder Nichtset- 
zen des Parameters 69 aktiviert bzw. deaktiviert werden. Der 
oder die Parameter 70 geben fur das parametrierbare Uberwa- 
chungsmittel Zeituberwachung die Grenzen des Zeitfensters an. 
Der Parameter 71 bestimmt unterschiedliche Betriebsarten der 
F-Funktion 64. Der eingegebene und als sicher akzeptierte 
Wert wird als so genannter sicherer F-Wert 62 auf einem si- 
cheren Weg 63 ubernommen sowie bedarfsweise auf einem nicht 
sicheren Weg 61 an die Bedienvorrichtung 50 iibertragen. Die 
sicherheitsgerichtete F-Funktion 64 lauft ublicherweise in 
der Zentraleinheit (CPU) eines Automatisierungssystems, ins- 
besondere in einer sicherheitsgerichteten Zentraleinheit (F- 
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CPU) , ab. Die F -Funk t ion kann als F~Funktionsbaustein inner- 
halb eines Automat is ierungsprogramms realisiert sein. 

Mogliche Fehler die beherrscht werden miissen sind: 

• Ubertragungs fehler 

• Fehler in der Eingabeumwandlung 

• Fehler in der Aus gab eumwand lung 

• Adr e s s ver f a 1 s chung 

• Systematische Fehler in der Bedienvorrichtung 

• "Kurzschluss" des Eingabef eldes zum Readback-Feld 

• zu frxihe oder zu spate Datenanderungen 

• gleichzeitiger Zugrif f verschiedener Bedienvorrichtungen 
auf die Recheneinheit 

Eine Adressverf alschung wird aufgedeckt, da fur den F-Wert 
eine Val-ID mitgeschickt wird und gleichzeitig unabhangig da- 
von in der F-CPU die Val-ID fur den Wert diversitar (d. h. in 
diesem Fall mit Komplement) gefuhrt wird. Die F-Funktion ver- 
gleicht die Val-ID. Die Val-ID muss projektweit eindeutig 
sein. 

Prinzipiell wird davon ausgegangen, dass die Anwender, die 
sicherheitsrelevante Eingaben durchfiihren, entsprechend ge- 
schult sind. Somit kann keine vollkommen beliebige Eingabe 
vorkommen. Ublicherweise wird davon ausgegangen, dass mit si- 
cherheitsrelevanten Aufgaben betrauter und demgemaS zuverlas- 
siger Anwender von tausend Bedieneingaben im Schnitt maximal 
eine falsche Eingabe macht. Bisher musste ein Anwender durch 
entsprechende sicherheitsgerichtete Programmierung selbst da- 
fur sorgen, dass alle oben genannten Fehler, die in der Be- 
dienvorrichtung/ der Kommunikation zur F-Funktion und der Ad- 
ressierung zur F-Funktion auf trete n konnen, aufgedeckt und 
beherrscht werden. Wenn er dazu nicht in der Lage war, musste 
er im F-Programm den Parameter andern, das Prograram neu kom- 
pilieren, wieder in die F-CPU laden, und die Anderung testen. 

Im Folgenden wird fur ein weiteres Ausfiihrungsbeispiel die 
Bedienreihenfolge fur eine (allgemeine) systemunterstutzte 
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sichere Bedienung (F-Bedienung) angegeben. Es gibt auf der 
Bedienoberflache der Bedienvorrichtung fur jeden bedienbaren 
s icherhei tsr elevanten Wert / Parameter 

• ein Eingabefeld, 

• ein Readback-Anzeige-Feld, (Zahlendarstellung in anderer 
Schrift) 

• ein Wiederholungseingabefeld (Acceptance) 

• ein Anzeigefeld fur die Anzeige des aktuell im F-Programm 
verwendeten Wertes. 

Der Anwender gibt uber die Tastatur den neuen Wert in das 
Eingabefeld ein. Der Wert wird von der Bedienvorrichtung (im 
Folgenden auch OS = Operator Station genannt) unverschlusselt 
zusammen mit der "ID zu diesem Wert" (=Val-ID) , zur F- 
Funktion gesendet. Auf F-Seite ist die Schnitts telle ein 
Standard (nicht-F) -Eingang " New- Value " . Die F-Funktion prttft 
den Eingabewert und legt das Komplement nach Uberprufung auf 
den Readback-Value . Die OS wandelt das Komplement und zeigt 
das Ergebnis auf dem "Readback-Anzeige-Feld" an. Der Anwender 
vergleicht den Wert im Eingabefeld mit dem Readback-Value - 
bei Ungleichheit muss er die Abbruchfunktion auswahlen. Wenn 
die Werte aus seiner Sicht identisch sind, bestatigt er die 
Eingabe indem er den Wert noch mal eingibt (diese Wiederho- 
lung der Eingabe kann auch durch einen anderen Anwender er- 
f olgen) . Aus diesem Wert erzeugt die OS das Komplement und 
schickt dieses als Acceptance an die F-Funktion. Die F- 
Funktion vergleicht "new- Value" und "Acceptance" (d. h. Wert 
und Komplement) und wenn diese zusammenpassen gibt die F- 
Funktion den neuen Wert frei. 

Der Wert muss in einem festen Eingabefeld (dem F-Value zuge- 
ordnet und somit intern mit einer F-ID versehen, - beim Plat- 
zieren des Template /Bedienprogramm) eingegeben werden. 
Jede einzelne Zif fer wird bei der Eingabe vom Bediener mit 
der gewiinschten Zif fer verglichen (Sicherheitsanf orderung zur 
Prufung der Tastaturfunktion) . Durch Betatigen einer Ubernah- 
metaste wird der Wert von der OS zusammen mit der Val-ID an 
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die F-Funktion "sichere Bedieneingabe " ubermittelt (Kommuni- 
kationsweg innerhalb der Anlage beliebig) . Die F-Funktion 
spiegelt das ••Komplement" des Wertes zur Priifung an die OS. 
Das Komplement wird in der OS zum Wert zuriickgerechnet , der 
Wert zur Kontrolle in darunterliegendem Ausgabe-Feld ange- 
zeigt. Der Bediener vergleicht den Wert mit dem zuerst einge- 
gebenen Wert. Wenn der Wert gleich ist und der Bediener ein- 
verstanden ist, tippt er den Wert noch ein zweites Mai als 
Acceptance ein und drxickt die ubernahmetaste . Die OS schickt 
den Wert zusammen mit der Val-ID als Komplement zur F- 
Funktion. Die F-Funktion pruft die Acceptance und ubernimmt 
bei zeitlicher Korrektheit und Datenkorrektheit den Wert als 
sicheren Wert. Dieser Wert wird wieder von der OS angezeigt 
und ist vom Anwender zum Schluss noch zu prufen. Bei Unter- 
schied zum gewiinschten Wert muss Bediener mit einer neuen Si- 
cherheitseingabe Oder dem Stopp dieser Funktion reagieren. 
Diese letzte Priifung ist jedoch sicherheitstechnisch, d. h. 
zur Erreichung der Sicherheitsklasse SIL 3, nicht erforder- 
lich. 

Fur die Funktion in der OS und fur die Datenubertragung muss 
ein probabilistischer Nachweis entsprechend SIL 2 erstellt 
werden (SIL = Safety Integrity Level gemas IEC 61508) . Ein 
derartiger probabilistischer Nachweis kann z. B. die Durch- 
fuhrung einer FMEA (Failure Mode and Effect Analysis) sein. 
Die Sicherheits-Anforderung an den F-Funktionsbaustein ist 
SIL 3. Durch die Beobachtung des gesamten Bedienvorgangs 
durch den Anwender erreicht die gesamte Funktion SIL 3. Die 
Verantwortung fiir die Eingabe- des richtigen Wertes an der 
richtigen Stelle verbleibt beim Anwender. Die OS, bzw. die 
gesamte Funktion "sichere Eingabe", trdgt nur die Verantwor- 
tung fiir die richtige Ubertragung des angezeigten Wertes. Die 
Val-ID weist typischerweise Werte zwischen 1 und FFFE (hexa- 
dezimal) auf . Bei Auftreten eines Fehlers wahrend des Ablaufs 
des Verfahrens bleibt grundsatzlich der letzte gultige siche- 
re Wert erhalten. Nach Neustart miissen die Werte neu eingege- 
ben werden. 
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In einem typischen Szenario, in welchem eine Ausgestaltung 
der Erfindung zum Einsatz kommen konnte, lauft eine Ferti- 
gungsanlage unter genau definierten Bedingungen. Auf einem 
Anzeigefeld einer OS wird ein aktueller Anlagenwert ange- 
zeigt. In Abhangigkeit der gerade zu produzierenden Produkte 
miissen Temperatur- oder der Druckwerte im sicherheitsgerich- 
teten Teil der Anlage geandert werden. Die anlagenspezif i- 
schen Grenzwerte werden bei der gewiinschten Anderung jedoch 
nicht iiber- bzw. unterschritten und sollen auch nicht gean- 
dert werden. Die zu andernden Werte sind nicht unbedingt nur 
die Sicherheit betreffende Werte, sondern haben auch Einfluss 
auf die Produktqualitat . Weitere zu andernde sicherheitsrele- 
vante Werte konnten jedoch auch Auswirkungen auf potentielle 
Risiken haben. In einem ersten Szenario gibt ein Anwender ei- 
ne Anderungsanforderung (change request) in das Bediensystem 
ein. Die betroffene Sicherheitsfunktion in diesem Szenario 
geht daraufhin in den sicheren Zustand (was im Allgemeinen 
sicherheitstechnisch nicht erf order lich ware) . Der Anwender 
gibt in ein dafiir vorgesehenes Eingabefeld den neuen Wert 
ein. Der Anwender validiert seine Eingabe mit seinem eigenen 
Schliissel (mechanischer oder komplexerer Art, z. B. Chipkar- 
te, biometrischer Schliissel u. A) , wodurch ein Einbitwert 
(Validation Anwender) gesetzt wird. Der eingegebene Wert wird 
mit den Anlagengrenzwerten verglichen. Bei falscher Eingabe 
kann ein zuvor parametrierter Ersatzwert validiert werden. 
Der akzeptierte Wert oder der Ersatzwert wird in einem dafiir 
vorgesehen Anzeigefeld angezeigt. Der Zustand "akzeptiert" 
oder "nicht akzeptiert" wird mit einem eigenen Einbitwert 
(Acceptation Condition) in einem separaten Anzeigefeld ange- 
zeigt. 

In einem zweiten Szenario iiberpriift und validiert ein zweiter 
Anwender, der Supervisor, die Eingabe des ersten Anwender s 
und den riickgespiegelten Wert mit seinem eigenen Schliissel. 
Abhangig von seiner Validierung wird ein Einbitwert (Valida- 
tion Supervisor) generiert und angezeigt. Ein akzeptierter 
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Wert wird als aktuell gultiger Wert angezeigt. Akzeptiert der 
Supervisor den vom ersten Anwender eingegebenen Wert nicht 
innerhalb einer def inierbaren Zeitspanne, wird die Eingabe- 
funktion zuriickgesetzt . 

Nach einem Stopp und Wiederanlauf der (F-)CPU und/oder einem 
Stromversorgungsfehler bleibt die F-Funktion im sicheren Zu- 
stand und der jeweilige Ersatzwert wird als aktuell gultiger 
sichere Wert angezeigt. 

Zusaimnengefasst betrif ft die Erfindung somit ein System sowie 
ein Verfahren zur sicheren Erfassung von Eingabewerten zur 
Verarbeitung in einer sicherheitsgerichteten Recheneinheit. 
Um die sichere Erfassung von Eingabewerten mit einer nicht 
sicherheitsgerichteten Bedienvorrichtung zu ermoglichen, wird 
vorgeschlagen, dass mittels einer Bedienvorrichtung ein iiber 
Eingabemittel eingegebener erster Wert mit ersten Anzeigemit- 
teln angezeigt wird, der erste Wert zusammen mit einem Iden- 
tifizierungswert unverschliisselt an eine sicherheitsgerichte- 
te Recheneinheit ubertragen wird, ein von der Recheneinheit 
ubermittelter zweiter Wert in einen dritten Wert umgerechnet 
wird, der dritte Wert mit zweiten Anzeigemitteln angezeigt 
wird, ein iiber die Eingabemittel eingegebener vierter Wert 
mit dritten Anzeigemitteln angezeigt wird, der vierte Wert in 
einen funften Wert umgerechnet wird und der funf te Wert zu- 
sammen mit dem Identif izierungswert unverschliisselt an die 
Recheneinheit ubertragen wird, und dass die Recheneinheit den 
ersten Wert sowie Kontrollwerte und Grenzwerte speichert, den 
Identif izierungswert mit einem der Kontrollwerte mittels ers- 
ter Vergleichsmittel 11 vergleicht, den ersten Wert mit den 
Grenzwerten mittels zweiter Vergleichsmittel 12 vergleicht, 
den ersten Wert in einen zweiten Wert umrechnet, den zweiten 
Wert unverschliisselt an die Bedienvorrichtung iiber tragt und 
den funften Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel 13 vergleicht. 
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Patentanspriiche 

1. System zur sicheren Erfassung von Eingabewerten mit einer 
Bedienvorrichtung (1) und einer sicherheitsgerichteten Re- 
cheneinheit (2), wobei die Bedienvorrichtung (1) 

• erste Anzeigemittel (6) zur Anzeige eines uber Eingabemit- 
tel (3) eingebbaren ersten Werts, 

• Kommunikationsmittel (4) zur unverschlusselten Ubertragung 
des ersten Werts zusaiomen mit einem Identif izierungswert 
an die Recheneinheit (2) , 

• Rechenmittel (5) zur Uiiurechnung eines von der Rechenein- 
heit (2) iibermittelbaren zweiten Werts in einen dritten 
Wert, 

• zweite Anzeigemittel (7) zur Anzeige des dritten Werts, 

• dritte Anzeigemittel (8) zur Anzeige eines uber die Einga- 
bemittel (3) eingebbaren vierten Werts, wobei die Rechen- 
mittel (5) zur Umrechnung des vierten Werts in einen funf- 
ten Wert vorgesehen sind und die Kommunikationsmittel (4) 
zur unverschlusselten Ubertragung des funf ten Werts zusam- 
men mit dem Identif izierungswert an die Recheneinheit (2) 
vorgesehen sind, 

und wobei die Recheneinheit (2) 

• Speichermittel (10) zur Speicherung des ersten Werts sowie 
zur Speicherung von Kontrollwerten und Grenzwerten, 

• erste Vergleichsmittel (11) zum Vergleich des Identif izie- 
rungswerts mit einem der Kontrollwerte, 

• zweite Vergleichsmittel (12) zum Vergleich des ersten 
Werts mit den Grenzwerten, 

• Rechenmittel (15) zur Umrechnung des ersten Werts in einen 
zweiten Wert, 

• tibertragungsmittel (14) zur unverschlusselten Ubertragung 
des zweiten Werts an die Bedienvorrichtung (1) und 

• dritte Vergleichsmittel (13) zum Vergleich des funf ten 
Werts mit dem ersten Wert 

aufweist . 
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2. System nach Anspruch 1, 

dadurch gekennzeichnet, 

dass die Rechenmittel (5, 15) zur Bildung eines Komplements 

der Werte vorgesehen sind. 

3. System nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) Mittel zur von Ergebnissen der 
Vergleiche der Vergleichsmittel (11, 12, 13) abhangigen Frei- 
gabe des ersten Werts aufweist. 

4. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die ersten Anzeigemittel (6) und die zweiten Anzeigemit- 
tel (7) zur Anzeige des ersten bzw. des dritten Werts in von- 
einander unterschiedlicher Formatierung vorgesehen sind. 

5. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) eine uber die Eingabemittel 
(3) aktivierbare Abbruchfunktion aufweist. 

6. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) parametrierbare Uberwachungsmittel 
(16) zur Zeituberwachung der Ubermittlung des ersten bzw. des 
vierten Werts aufweist. 

7. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) vierte Anzeigemittel (9) zur 
Anzeige eines weiteren von der Recheneinheit (2) ubertragba- 
ren sechsten Werts aufweist. 

8. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 



18 



WO 2005/048103 



PCT/EP2004/012623 



dass die Speichermittel (15) zur diversitaren Speicherung der 
Kontrollwerte vorgesehen sind. 

9. System nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Eingabemittel (3) keine Drag & Drop-Funktion zulas- 
sen. 

10. System nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) sicherheitsgerichtete Funktions- 
mittel (17) zur sicheren Durchfuhrung eines Funktionstests 
der Bedienvorrichtung (1) aufweist. 

11. System nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) Mittel (18) zur Authentif izie- 
rung von Anwendem aufweist. 

12. System nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass das System Teil eines Automatisierungssystems ist. 

13 . Verf ahren zur sicheren Erfassung von Eingabewerten, bei 
welchem mittels einer Bedienvorrichtung (1) 

• ein uber Eingabemittel (3) eingegebener erster Wert mit 
ersten Anzeigemitteln (6) angezeigt wird, 

• der erste Wert zusammen mit einem Identif izierungswert un- 
verschliisselt an eine sicherheitsgerichtete Recheneinheit 
(2) ubertragen wird, 

• ein von der Recheneinheit (2) ubermittelter zweiter Wert 
in einen dritten Wert umgerechnet wird, 

• der dritte Wert mit zweiten Anzeigemitteln (7) angezeigt 
wird, 

• ein uber die Eingabemittel (3) eingegebener vierter Wert 
mit dritten Anzeigemitteln (8) angezeigt wird, 

• der vierte Wert in einen fiinf ten Wert umgerechnet wird und 
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• der fiinfte Wert zusammen mit dem Identif izierungswert un- 
verschltisselt an die Recheneinheit (2) iibertragen wird, 

und bei welchem die Recheneinheit (2) 

• den ersten Wert sowie Kontrollwerte und Grenzwerte spei- 
cher t , 

• den Identifizierungswert mit einem der Kontrollwerte mit- 
tels erster Vergleichsmittel (11) vergleicht, 

• den ersten Wert mit den Grenzwerten mittels zweiter Ver- 
gleichsmittel (12) vergleicht, 

• den ersten Wert in einen zweiten Wert umrechnet, 

• den zweiten Wert unverschlusselt an die Bedienvorrichtung 
(1) uber tragt und 

• den funften Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel (13) vergleicht. 

14- Verfahren nach Anspruch 13, 
dadurch gekennzeichnet, 

dass die Rechenmittel (5, 15) jeweils ein Komplement der Wer- 
te bilden. 

15. Verfahren nach Anspruch 13 oder 14, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) den ersten Wert in Abhangigkeit 
von Ergebnissen der Vergleiche der Vergleichsmittel (11, 12, 
13) freigibt. 

16 . Verfahren nach einem der Anspriiche 13 bis 15, 
dadurch gekennzeichnet, 

dass die ersten Anzeigemittel (6) und die zweiten Anzeigemit- 
tel (7) den ersten bzw. den dritten Werts in voneinander un- 
terschiedlicher Formatierung anzeigen. 

17. verfahren nach einem der Anspriiche 13 bis 16, 
dadurch gekennzeichnet, 

dass iiber die Eingabemittel (3) eine Abbruchfunktion der Be- 
dienvorrichtung (1) aktivierbar ist. 
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18. Verfahren nach einem der Anspriiche 13 bis 17, 
dadurch gekennzeichnet, 

dass die Ubermittlung des ersten bzw. des vierten Werts mit- 
tels parametrierbarer Uberwachungsmittel (16) der Rechenein- 
heit (2) zeitlich iiberwacht wird. 

19. Verfahren nach einem der Anspriiche 13 bis 18, 
dadurch gekennzeichnet, 

dass ein weiterer von der Recheneinheit (2) ubertragbarer 
sechster Wert mit vierten Anzeigemitteln (9) angezeigt wird. 

20. Verfahren nach einem der Anspriiche 13 bis 19, 
dadurch gekennzeichnet, 

dass die Kontrollwerte diversitar gespeichert werden. 

21. Verfahren nach einem der Anspriiche 13 bis 20, 
dadurch gekennzeichnet, 

dass die Eingabemittel (3) keine Drag & Drop-Funktion zulas- 
sen. 

22. Verfahren nach einem der Anspriiche 13 bis 21, 
dadurch gekennzeichnet, 

dass sicherheitsgerichtete Funktionsmittel (17) der Rechen- 
einheit (2)einen Funktionstest der Bedienvorrichtung (1) si- 
cher durchf iihr en . 

23. Verfahren nach einem der Anspriiche 13 bis 22, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) Anwender authentif iziert . 

24. Verfahren nach einem der Anspriiche 13 bis 23, 
dadurch gekennzeichnet, 

dass das Verfahren zur Erfassung von Eingabewerten innerhalb 
eines Automatisierungssystems dient. 
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